Configurar la conexión de Active Directory en Workspace ONE Access

En la consola de Workspace ONE Access, cree un directorio, introduzca la información necesaria para conectar con Active Directory y seleccione los usuarios y los grupos que se deben sincronizar con el directorio de Workspace ONE Access. Las opciones de conexión de Active Directory son Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada. La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.

Requisitos previos

Instale el servicio de sincronización de directorios, que está disponible como componente de Workspace ONE Access Connector a partir de la versión 20.01.0.0. Consulte la versión más reciente de Instalar VMware Workspace ONE Access Connector para obtener más información.
Si desea utilizar el servicio de autenticación de usuario para autenticar a los usuarios del directorio, instale también el componente de dicho servicio.
Seleccione los atributos de usuario necesarios y agregue otros atributos personalizados (si es necesario) desde la página Configuración > Atributos de usuario en la consola de Workspace ONE Access. Consulte Administrar atributos de usuario en Workspace ONE Access. Tenga en cuenta las siguientes consideraciones:
- Si se requiere un atributo de usuario, su valor debe establecerse para todos los usuarios que desee sincronizar. Los usuarios que no tienen ningún valor para el atributo no se sincronizan.
- Los atributos se aplican a todos los directorios.
- Después de configurar uno o varios directorios en el servicio de Workspace ONE Access, los atributos ya no se pueden marcar como obligatorios.
Cree una lista de los usuarios y los grupos que desea sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para utilizar los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
Si crea un directorio de tipo Active Directory mediante LDAP con la opción de Catálogo global, debe asegurarse de que ningún otro directorio del arrendatario de Workspace ONE Access sincronice a los usuarios desde los mismos dominios que el directorio de Catálogo global. El conflicto puede provocar errores de sincronización.
Para Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.
El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:
- Leer
- Leer todas las propiedades
- Permisos de lectura
Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
Para Active Directory mediante autenticación de Windows integrada, necesita la contraseña y el nombre de usuario del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos.
El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:
- Leer
- Leer todas las propiedades
- Permisos de lectura
Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.

Nota: Para directorios de tipo Active Directory mediante autenticación de Windows integrada, el enlace SASL Kerberos se utiliza automáticamente para el cifrado. No se requiere un certificado.
Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
Para Active Directory mediante autenticación de Windows integrada:
- Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
- Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.
Si Workspace ONE Access Connector se ejecuta en modo FIPS, se aplican requisitos y prerrequisitos adicionales. Consulte Workspace ONE Access Connector y el modo FIPS para su versión del conector.

Procedimiento

En la consola de Workspace ONE Access, seleccione Integraciones > Directorios.
En el menú desplegable Agregar directorio, seleccione Active Directory.

En la sección Información del directorio, introduzca los siguientes datos:

Opción	Descripción
Nombre de directorio	Introduzca un nombre para el directorio de Workspace ONE Access.
Tipo	Seleccione el tipo de directorio (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).

Si seleccionó Active Directory mediante LDAP como tipo de directorio, siga estos pasos en la sección Configurar directorio. En caso contrario, avance al paso siguiente.

En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.

Opción	Descripción
Hosts de sincronización de directorios	Seleccione una o varias instancias del servicio de sincronización de directorios que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario. Solo puede seleccionar las que están en estado activo. Si selecciona varias instancias, Workspace ONE Access utilizará la primera que elija en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente pestaña Configuración de sincronización.
Autenticación	Seleccione Configurar autenticación de contraseña para este directorio si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Si selecciona esta opción, se crearán automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad denominado IDP para `NombreDeDirectorio` de tipo Integrado para el directorio. Seleccione Agregar métodos de autenticación posteriormente si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual. Cuando lo haga, cree un nuevo proveedor de identidad para el directorio seleccionando Agregar > IDP integrado en la página Integraciones > Proveedores de identidades. No se recomienda utilizar el proveedor de identidades creado previamente con el nombre Integrado.
Hosts de autenticación de usuario	Esta opción aparece cuando Autenticación se establece en Configurar autenticación de contraseña para este directorio. Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo. Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).
Nombre de usuario	Seleccione el atributo de cuenta que contiene el nombre de usuario.
ID externo	Atributo que desea utilizar como identificador único para los usuarios en el directorio de Workspace ONE Access. El valor predeterminado es objectGUID. Puede establecer un identificador externo en cualquiera de los siguientes atributos: Cualquier atributo de cadena, como sAMAccountName o distinguishedName Los atributos binarios objectSid, objectGUID o mS-DS-ConsistencyGuid El ajuste ID externo solo se aplica a los usuarios en Workspace ONE Access. Para los grupos, el identificador externo siempre se establece en objectGUID y no se puede cambiar. Importante: Todos los usuarios deben tener un valor único y no vacío definido para el atributo. El valor debe ser único en el arrendatario de Workspace ONE Access. Si algún usuario no tiene un valor para el atributo, el directorio no se sincronizará. Importante: Si establece un identificador externo en los atributos objectGUID o mS-DS-ConsistencyGuid de Active Directory, todos los usuarios deberán tener un valor no vacío con un tamaño exacto de 16 bytes para el atributo que corresponda de los dos mencionados. Asimismo, asegúrese de especificar el nombre de atributo correcto de Active Directory, incluidas mayúsculas y minúsculas, en el cuadro de texto ID externo. Si el nombre no coincide con el nombre de atributo en Active Directory, se devolverá un valor nulo y se producirá un error en la sincronización del directorio. Por ejemplo, si utiliza el atributo mS-DS-ConsistencyGuid en Active Directory y establece un identificador externo en ms-DS-ConsistencyGuid, la sincronización del directorio no se completará correctamente. Tenga en cuenta las siguientes consideraciones al configurar el identificador externo: Si va a integrar Workspace ONE Access con Workspace ONE UEM, asegúrese de establecer el identificador externo en el mismo atributo en ambos productos. Puede cambiar el identificador externo después de crear el directorio. Sin embargo, la práctica recomendada es establecerlo antes de sincronizar los usuarios con Workspace ONE Access. Cuando se cambia el identificador externo, se vuelven a crear los usuarios. Como resultado, se cerrará la sesión de todos los usuarios y tendrá que volver a iniciar sesión. También tendrá que volver a configurar las autorizaciones de usuario para las aplicaciones web y ThinApps. Las autorizaciones para Horizon, Horizon Cloud y Citrix se eliminarán y, a continuación, se volverán a crear en la siguiente sincronización de autorizaciones. La opción ID externo está disponible con Workspace ONE Access Connector 20.10 y versiones posteriores. Todos los conectores asociados con el servicio de Workspace ONE Access deben ser de la versión 20.10 o una versión posterior. Si hay diferentes versiones del conector asociadas con el servicio, no se muestra la opción ID externo.

Para configurar Ubicación del servidor y Cifrado, seleccione las siguientes opciones.

Opción	Descripción
Si desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory	Con esta opción, Workspace ONE Access encuentra y utiliza controladores de dominio óptimos. Si no desea utilizar la selección de controladores de dominio optimizados, no seleccione esta opción. En la sección Ubicación del servidor, seleccione la casilla de verificación Este directorio admite la ubicación de servicio de DNS. Si Active Directory requiere acceso mediante SSL/TLS, seleccione la casilla de verificación Requerir STARTTLS para todas las conexiones en la sección Cifrado. Nota: Si la opción Este directorio admite la ubicación de servicio de DNS está seleccionada, se utilizará STARTTLS para el cifrado a través del puerto 389. Si la opción Este directorio admite la ubicación de servicio de DNS no está seleccionada, se utilizará LDAPS para el cifrado a través del puerto 636. Copie y pegue los certificados intermedio (si se utiliza) y de CA raíz de los controladores de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que todos los certificados estén en formato PEM e incluyan las líneas BEGIN CERTIFICATE y END CERTIFICATE. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, introduzca una tras otra todas las cadenas de certificados de CA intermedio-raíz. Por ejemplo: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Nota: Si su Active Directory requiere acceso mediante SSL/TLS y usted no proporciona los certificados, no podrá crear el directorio.
Si no desea utilizar la búsqueda de ubicación del servicio de DNS para Active Directory	En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada e introduzca el número de puerto y el nombre de host del servidor de Active Directory en los cuadros de texto Puerto de servidor y Host de servidor respectivamente. Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Integrar Active Directory con Workspace ONE Access. Si Active Directory requiere acceso mediante SSL/TLS, seleccione la casilla de verificación Requerir LDAPS para todas las conexiones en la sección Cifrado. Nota: Si la opción Este directorio admite la ubicación de servicio de DNS está seleccionada, se utilizará STARTTLS para el cifrado a través del puerto 389. Si la opción Este directorio admite la ubicación de servicio de DNS no está seleccionada, se utilizará LDAPS para el cifrado a través del puerto 636. Copie y pegue el certificado intermedio (si se utiliza) y de CA raíz del controlador de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE. Nota: Si Active Directory requiere acceso mediante SSL/TLS y no se proporciona el certificado, no se puede crear el directorio.
Si va a integrar el directorio como un catálogo global	En la sección Ubicación del servidor, desactive la opción Este directorio admite la ubicación de servicio de DNS. Seleccione la opción Este directorio tiene un catálogo global. En el cuadro de texto Host de servidor, introduzca el nombre de host de servidor de Active Directory. El Puerto de servidor está establecido en 3268. Si selecciona SSL/TLS en la sección Cifrado, el puerto se establece en 3269. Si Active Directory requiere acceso mediante SSL/TLS, seleccione la opción Requerir LDAPS para todas las conexiones en la sección Cifrado. Copie y pegue el certificado intermedio (si se utiliza) y de CA raíz del controlador de dominio en el cuadro de texto Certificados SSL. Introduzca primero el certificado de CA intermedio y, a continuación, el certificado de CA raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE.

En la sección Detalles del usuario de enlace, introduzca la siguiente información.

Opción	Descripción
DN base	Introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com. Importante: El DN base se utilizará para la autenticación. Solo los usuarios que se encuentren bajo el DN base podrán autenticarse. Asegúrese de que los DN de grupo y los DN de usuario que especifique posteriormente para la sincronización se encuentren bajo este DN base. Nota: Si agrega el directorio como un catálogo global, el DN base no es necesario y la opción no aparece.
DN de usuario de enlace	Introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
Contraseña del usuario de enlace	Escriba la contraseña del usuario de enlace.

Si seleccionó Active Directory mediante autenticación de Windows integrada como tipo de directorio, siga estos pasos en la sección Configurar directorio.

En la sección Sincronización y autenticación de directorios, seleccione las opciones siguientes.

Opción	Descripción
Hosts de sincronización de directorios	Seleccione una o varias instancias del servicio de sincronización de directorios que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo. Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente pestaña Configuración de sincronización.
Autenticación	Seleccione Configurar autenticación de contraseña para este directorio si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Si selecciona esta opción, se crearán automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad denominado IDP para `directorio` de tipo Integrado para el directorio. Seleccione Agregar métodos de autenticación posteriormente si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual. Cuando lo haga, cree un nuevo proveedor de identidad para el directorio seleccionando Agregar > IDP integrado en la página Integraciones > Proveedores de identidades. No se recomienda utilizar el proveedor de identidades creado previamente con el nombre Integrado.
Hosts de autenticación de usuario	Esta opción aparece cuando Autenticación se establece en Configurar autenticación de contraseña para este directorio. Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo. Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).
Nombre de usuario	Seleccione el atributo de cuenta que contiene el nombre de usuario.
ID externo	El atributo que desea utilizar como identificador único para usuarios en el directorio de Workspace ONE Access. El valor predeterminado es objectGUID. Puede establecer un identificador externo en cualquiera de los siguientes atributos: Cualquier atributo de cadena, como sAMAccountName o distinguishedName Los atributos binarios objectSid, objectGUID o mS-DS-ConsistencyGuid La configuración del identificador externo solo se aplica a los usuarios de Workspace ONE Access. Para los grupos, el identificador externo siempre se establece en objectGUID y no se puede cambiar. Importante: Todos los usuarios deben tener un valor único definido para el atributo. El valor debe ser único en el arrendatario de Workspace ONE Access. Importante: Si establece un identificador externo en los atributos objectGUID o mS-DS-ConsistencyGuid de Active Directory, todos los usuarios deberán tener un valor no vacío con un tamaño exacto de 16 bytes. Asimismo, asegúrese de especificar el nombre de atributo correcto de Active Directory, incluidas mayúsculas y minúsculas, en el cuadro de texto ID externo. Si el nombre no coincide con el nombre de atributo en Active Directory, se devolverá un valor nulo y se producirá un error en la sincronización del directorio. Por ejemplo, si utiliza el atributo mS-DS-ConsistencyGuid en Active Directory y establece un identificador externo en ms-DS-ConsistencyGuid, la sincronización del directorio no se completará correctamente. Tenga en cuenta las siguientes consideraciones al configurar el identificador externo: Si va a integrar Workspace ONE Access con Workspace ONE UEM, asegúrese de establecer el identificador externo en el mismo atributo en ambos productos. Puede cambiar el identificador externo después de crear el directorio. Sin embargo, la práctica recomendada es establecer el identificador externo antes de sincronizar los usuarios con Workspace ONE Access. Cuando se cambia el identificador externo, se vuelven a crear los usuarios. Como resultado, se cerrará la sesión de todos los usuarios y tendrá que volver a iniciar sesión. También tendrá que volver a configurar las autorizaciones de usuario para las aplicaciones web y ThinApps. Las autorizaciones para Horizon, Horizon Cloud y Citrix se eliminarán y, a continuación, se volverán a crear en la siguiente sincronización de autorizaciones. La opción ID externo está disponible con Workspace ONE Access Connector 20.10 y versiones posteriores. Todos los conectores asociados con el servicio de Workspace ONE Access deben ser de la versión 20.10 o una versión posterior. Si hay diferentes versiones del conector asociadas con el servicio, no se muestra la opción ID externo.

No se requiere ninguna acción para la opción Cifrado. Los directorios de tipo Active Directory mediante autenticación de Windows integrada utilizan automáticamente el enlace SASL Kerberos y no es necesario seleccionar LDAPS o STARTTLS.
En la sección Detalles del usuario de enlace, introduzca el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos. Introduzca el nombre de usuario como sAMAccountName@domain, donde domain es el nombre de dominio completo. Por ejemplo, [email protected].

Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

Haga clic en Guardar.
En la sección Seleccionar dominios, seleccione los dominios y haga clic en Guardar.
- Si el directorio es de tipo Active Directory mediante LDAP, se mostrará una lista de dominios. Seleccione los dominios que desea asociar con el directorio de Workspace ONE Access.
- Si el directorio es de tipo Active Directory mediante autenticación de Windows integrada, seleccione los dominios que desee asociar con el directorio de Workspace ONE Access. Aparecen todos los dominios que mantienen una relación de confianza bidireccional con el dominio base.
  Si, después de crear el directorio de Workspace ONE Access, se agregan a Active Directory dominios que mantienen una relación de confianza bidireccional con el dominio base, puede agregarlos desde la pestaña Configuración de sincronización > Dominios del directorio.
  
  Sugerencia: Elija los dominios de confianza uno por uno (no a la vez). Así no se precisa mucho tiempo para guardarlos y no se agota el tiempo de espera. Si los dominios se eligen de manera secuencial, el servicio de sincronización de directorios realiza las acciones que se requieren en un único dominio cada vez.
- Si va a crear un directorio de tipo Active Directory mediante LDAP con la opción Catálogo global seleccionada, la pestaña Seleccionar dominios no aparecerá.
En la sección Asignar atributos de usuario, asigne los Workspace ONE Accessatributos del directorio a atributos de Active Directory y haga clic en Guardar.

Puede agregar atributos y administrar la lista de los marcados como obligatorios en la página Configuración > Atributos de usuario.

Importante: Si un atributo está marcado como obligatorio, debe establecerse su valor para todos los usuarios que desee sincronizar. Los registros de usuario a los que les falten valores para los atributos obligatorios no se sincronizarán.
En la sección Sincronizar grupos, agregue los grupos que desea sincronizar. Para obtener más información, consulte Seleccionar usuarios y grupos para sincronizar con el directorio de Workspace ONE Access.
En la sección Sincronizar usuarios, agregue los usuarios que desea sincronizar. Para obtener más información, consulte Seleccionar usuarios y grupos para sincronizar con el directorio de Workspace ONE Access.
En la sección Frecuencia de sincronización, configure una programación para sincronizar los usuarios y los grupos en intervalos regulares. Si no desea establecer dicha programación, seleccione Manualmente en el menú desplegable Frecuencia de sincronización.
La hora corresponde a la zona horaria UTC.

Sugerencia: Programe los intervalos de sincronización para que sean más extensos que el tiempo que se precisa para sincronizar el directorio. Si se están sincronizando usuarios y grupos con el directorio cuando está programada la próxima sincronización, la nueva sincronización se inicia inmediatamente tras la finalización de la sincronización anterior.

Si selecciona Manualmente, siempre que quiera sincronizar el directorio, en su correspondiente página deberá seleccionar Sincronizar > Sincronización con elementos de protección, o bien, Sincronizar > Sincronización sin elementos de protección.
Haga clic en Guardar para crear el directorio o en Guardar y sincronizar para crearlo e iniciar su sincronización.

Resultados

La conexión con Active Directory está establecida. Si hizo clic en Guardar y sincronizar, los nombres de usuarios y grupos se sincronizarán desde Active Directory con el directorio de Workspace ONE Access.

Para obtener más información sobre cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Workspace ONE Access.

Qué hacer a continuación

Si establece la opción Autenticación en Configurar autenticación de contraseña para este directorio, se creará automáticamente un proveedor de identidad denominado IDP para NombreDeDirectorio y se establecerá el método de autenticación Contraseña (implementación en la nube) para el directorio. Puede verlos en las páginas Integraciones > Proveedores de identidades e Integraciones > Métodos de autenticación. También puede crear más métodos de autenticación para el directorio en las páginas Métodos de autenticación del conector y Métodos de autenticación. Para obtener más información sobre cómo crear métodos de autenticación, consulte Administrar métodos de autenticación de usuario en Workspace ONE Access.
Revise la directiva de acceso predeterminada en la página Recursos > Directivas.
Revise la configuración predeterminada de los elementos de protección de sincronización y realice los cambios necesarios. Para obtener más información, consulte Configurar los elementos de protección de la sincronización de directorio en Workspace ONE Access.